Personuppgiftslagen

Personuppgiftslagen (1998:204 ), PUL, är den svenska implementeringen av EU:s dataskyddsdirektiv 95/46/EG.

[redigera] Syfte

Syftet med lagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.^[1]

[redigera] Behandling av personuppgift

Med behandling av personuppgift avses "varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring."^[2]

Lagen gäller för personuppgiftsansvariga som är etablerade i Sverige. Lagen tillämpas också när den personuppgiftsansvarige är etablerad i icke-EU-land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter i enlighet med 3 § personuppgiftslagen (1998:204).

Det är bland annat förbjudet att överföra personuppgifter till icke-EU-länder om sådana länder inte har en adekvat nivå för skyddet av personuppgifterna. Det innebär att det är förbjudet att publicera personuppgifter på internet, dock finns vissa undantag, till exempel med samtycke från personen eller om det är nödvändigt för att uppfylla ett avtal med personen.

[redigera] Känsliga personuppgifter

Det är enligt 13 § L^[3] förbjudet att behandla "känsliga personuppgifter" som avslöjar

1. ras eller etniskt ursprung,
2. politiska åsikter,
3. religiös eller filosofisk övertygelse,
4. medlemskap i fackförening,
5. hälsa eller sexualliv.

[redigera] Undantag

[redigera] Journalistiskt ändamål

Undantag har gjorts för litterära, konstnärliga och journalistiska ändamål, då namnuppgifter får publiceras helt fritt enligt Tryckfrihetsförordningen.^[4] Tryckfriheten kräver sådana undantag. Med journalistiska ändamål menas "att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten." Undantaget omfattar bland annat den som är yrkesverksam journalist eller som arbetar för etablerade medier, men även andra kan behandla personuppgifter för journalistiska ändamål. Kravet är att materialet är avsett för publicering i grundlagsskyddad media.

[redigera] Ostrukturerat material

De flesta bestämmelserna i personuppgiftslagen behöver inte tillämpas när man behandlar personuppgifter i ostrukturerat material, till exempel i löpande text.^[5]

[redigera] Privat natur

PUL gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.^[6]

[redigera] Skadestånd

Den personuppgiftsansvarige kan enligt 48 § (1998:204) bli skadeståndsskyldig mot den registrerade för skada och kränkning av den personliga integriteten, som en behandling av personuppgifter i strid med denna lag, har orsakat. Ersättningsskyldigheten kan jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

[redigera] Registerutdrag

PUL ger den behandlade rätt att en gång per år avgiftsfritt få information om alla personuppgifter som den personuppgiftsansvariga har lagrat om den behandlade enligt 26 § (1998:204). För att få ett registerutdrag skall den behandlade skicka en egenhändigt underskriven begäran till den personuppgiftsansvarige (det räcker inte att skicka E-post eller fax).

Registerutdraget skall innehålla alla personuppgifter enligt definitionen i lagen vilket betyder i princip alla inormation om kan kopplas till en person. Om den behandlade ber om ett registerutdrag från ett företag som COOP eller ICA som har kundlojalitetsprogram så skall den behandlade få ett utdrag med alla varor som köpts via lojalitetsprogrammet. Vid en begäran från en bank skall den behandlade få ett utdrag med all information om de inköp som gjorts via bankkort eller kreditkort. Det kan vara värt att notera att materialet ofta kan omfatta hundra sidor.

Den personuppgiftsansvariga kan inte hänsvisa till att de redan skickat informationen i andra sammanhang eller håller informationen tillgånglig via sin webbsida; de är skyldiga att skicka en skriftlig kopia av all information.

[redigera] Straff

Den som i strid mot 49 § (1998:204) behandlar personuppgift kan dömas till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år om brottet skett uppsåtligen eller av grov oaktsamhet. I ringa fall döms inte till ansvar.

[redigera] Tillsyn

Datainspektionen är tillsynsmyndighet och dess beslut får överklagas till allmän förvaltningsdomstol, det vill säga i första instans till förvaltningsrätt.^[7]

[redigera] Andra länder

Samtliga länder i EU och EES har liknande personuppgiftslagar, då de bygger på ett EU-direktiv, EU:s dataskyddsdirektiv 95/46/EG.

[redigera] Noter

1. ^ https://lagen.nu/1998:204#P1
2. ^ https://lagen.nu/1998:204#P3
3. ^ https://lagen.nu/1998:204#P13
4. ^ https://lagen.nu/1998:204#P7
5. ^ Vad gäller när personuppgifter behandlas på webbplatser? Datainspektionen
6. ^ https://lagen.nu/1998:204#P6
7. ^ https://lagen.nu/1998:204#P51

[redigera] Statliga utredningar och propositioner

• Personuppgiftslag, Prop 1997/98:44
• Översyn av personuppgiftslagen, SOU 2004:6
• Översyn av personuppgiftslagen, Prop 2005/06:173

[redigera] Externa länkar

• Mer information om personuppgiftslagen, Datainspektionen
• Behandling av personuppgifter - Information om personuppgiftslagen, Regeringskansliet
• Personuppgiftlagen i Svensk Författningssamling
• Europaparlamentets och rådets direktiv 95/46/EG - om skydd för enskilda personer med avseende på behandling av personuppgifter
• Diskussions- och informationsida om PUL, av Europareporter AB